Lukk

Tips noen om denne nettsiden


Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere

Informasjonssikkerhet - begreper og krav

I denne artikkelen forklares sentrale begreper i kravene til informasjonssikkerhet. Kravene finnes i personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2. Helseregisterlovens § 16 stiller tilsvarende krav.

Kravene omfatter blant annet at virksomheten skal ha:

  • definerte sikkerhetsmål
  • sikkerhetsstrategi
  • gjennomført risikovurdering
  • organisasjonskart som beskriver ansvar og myndighet i forhold til informasjonssikkerhet og drift
  • beskrivelse av informasjonssystemet

Sikkerhetsmål

Sikkerhetsmålene omfatter ledelsens beslutninger om hva informasjonsteknologien skal brukes til i virksomheten og hvordan den skal benyttes for å nå virksomhetens øvrige mål. Ledelsen må ta stilling til

  • hvilke personopplysninger blir lagret elektronisk/manuelt
  • hvilke sikringsbehov har opplysningene med hensyn til konfidensialitet, integritet og tilgjengelighet
  • hvilke elektroniske hjelpemidler tas i bruk
  • hvordan skal disse opplysningene kunne brukes
  • eventuell privat bruk av informasjonssystemet

(personopplysningsforskriften § 2-3)

Sikkerhetsstrategi

Sikkerhetsstrategien til virksomheten inneholder ledelsens beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell og den enkelte bruker må være tydelig avklart i sikkerhetsstrategien.

Sikkerhetsstrategien skal blant annet inneholde følgende:

  • overordnede valg for gjennomføring av sikkerhetsarbeidet
  • overordnede føringer for bruk av informasjonssystemet
  • eventuell bruk av eksterne samarbeidspartnere, f.eks. databehandlere og sikkerhetsleverandører
  • overordene krav til sikkerhetsarkitektur (flere nivå i nettverk, overvåkingssystem med mer)
  • overordnet oppgavefordeling

(personopplysningsforskriften § 2-3)

Akseptkriterium

Et akseptkriterium er det nivået av risiko virksomheten kan akseptere. Det betyr at virksomheten har vurdert ulike scenarioer og konsekvenser av disse og avgjort hvilken grad av risiko for dette, ledelsen kan akseptere. Datatilsynet kan overprøve virksomhetens valg dersom tilsynet mener virksomheten aksepterer for stor risiko.

Risikovurdering

En risikovurdering har til hensikt å undersøke hvor stor sikkerhetsrisiko det er ved bruk av informasjonssystemet. Resultatet av denne vurderingen skal sammenliknes med det risikonivået virksomheten kan akseptere (akseptkriteriene). En risikovurdering må derfor inneholde en beskrivelse av hvilke personopplysninger som behandles og hvilke sikkerhetskrav som stilles til disse behandlingene. Risiko er kombinasjonen av konsekvensen av en hendelse og sannsynligheten for at denne hendelsen inntreffer. Les mer i veilederen om risikovurdering av informasjonssystem.

Virksomheten må gjennomføre risikovurderinger før behandlingen av personopplysninger starter, deretter ved endringer i informasjonssystemet eller endring i trusselbildet.

En risikovurdering bør som et minimum, inneholde:

  • kartlegging av hvilke personopplysninger som behandles og hvilke sikkerhetsbehov disse har
  • identifisering av uønskede hendelser som kan true sikkerheten og konsekvensene av disse 
  • vurdering av sannsynligheten for at uønskede hendelser skal inntreffe 
  • vurdering av avdekket risiko for sikkerhetsbrudd sett i forhold til aksepterbar risiko

Datatilsynet forutsetter at risikonivået ligger innenfor akseptable grenser før behandling av personopplysninger settes i gang. Gjør det ikke det, skal virksomheten bruke resultatene av risikovurderingen som grunnlag for å planlegge og gjennomføre tiltak som sikrer tilfredsstillende informasjonssikkerhet.

(Personopplysningsforskriften § 2-4)

Konfigurasjonsbeskrivelse

En konfigurasjonsbeskrivelse er en oversikt over infrastruktur, nettverkskomponenter og datalagringsenheter og brukere i virksomhetens nett. Det bør komme tydelig frem hvilken funksjon enhetene har, og eventuelle eksterne tilknytninger må også komme klart frem. Beskrivelsen bør også forklare hvilke enheter som er lagringsmedium for personopplysninger.

Virksomheten bør også ha et konfigurasjonskart, men dersom konfigurasjonen er enkel er det tilstrekkelig å ha en skriftlig beskrivelse istedenfor. Konfigurasjonskartet eller beskrivelsen må inneholde:

  • oversikt over virksomhetens infrastruktur og de forskjellige brukere i virksomhetens nett
  • identifisering av datalagringsenhetene, nettverkskomponentene og datalagringsenhetene
  • en funksjonell beskrivelse av sikkerhetskomponentene

((personopplysningsforskriften § 2-7)

Organisering

Virksomheten må beskrive sikkerhetsorganisasjonen der det fremgår klart hvilke ansvars- og myndighetsforhold som er etablert ut fra sikkerhetsstrategien. Beskrivelsen må inneholde:

  • beskrivelse av ansvar og myndighet for drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeid (sikkerhetsledelse). I mindre organisasjoner kan det være samme person som ivaretar disse oppgavene.
  • organisasjonskart (gjelder større virksomheter) som viser alle sikkerhetsfunksjoner og deres plassering i forhold til ledelse og de ansatte virksomheten 

((personopplysningsforskriften § 2-7)